檢視次數:

設定 Securonix SIEM 整合,以使 Securonix 能夠從 Trend Vision One 收集警報、事件和審計日誌。

步驟

  1. Trend Vision One 控制台中,獲取端點 URL 和驗證令牌。
    1. 前往 工作流程和自動化Third-Party Integration
    2. 點選Securonix SIEM
    3. 從以下欄位獲取數值。
      • 點選 dddna_summary_detection_copy=GUID-4DE35BE5-57A5-4919-BF9C-5EC95F9CA8FD=1=zh-tw=Low.png 以複製Endpoint URL
      • 點選Generate並複製Authentication token
  2. 在 Securonix 平台上配置並保存 Trend Vision One 的設置憑證。
    如需有關設定的詳細資訊,請參閱 Securonix 雲端文件
    1. Unified Defense SIEM中,依次選擇功能表Add DataActivity
    2. 點選 Add DataAdd Data for Supported Device Type
    3. Resource Type Information視窗中,輸入以下數值。
      設定
      說明
      Vendors
      Trend Micro Inc.
      Resource Types
      趨勢科技 Vision One - 警示 : [trendmicroxdr] [JSON]
      Parser Name
      SCNX_TRENDM_TRENDMICROVISIONONEALERT_CEDR_TRE_JSO_COMM
    4. 從清單中選擇Ingester
    5. Connection Details視窗中,配置以下設定。
      設定
      說明
      Log Types
      選擇以下其中一項:
      • 警報 V3
      • 稽核日誌 V3
      Base URL
      將從 Trend Vision One 控制台複製的端點 URL 貼上。
      Token
      請貼上從 Trend Vision One 主控台複製的驗證權杖。
    6. 點選Save & Next
    7. Parser Management 視窗中,點選 Save & Next
  3. 在 Securonix 平台上新增關聯規則。
    1. 點選 Add ConditionAdd New Correlation Rule
    2. 給相關性規則一個描述性的名稱。
    3. Correlate events to user using rule 表格中的每一列指定一個值。
    4. 點選 儲存Save & Next
    5. 策略違規 視窗中,點選 Save & Next
  4. 執行整合以將 Trend Vision One 儲存為 Securonix 平台上的資料來源。
    1. Job Scheduling Information 視窗中,選擇 Do you want to run job Once?
    2. 點選Save & Run
      Securonix 開始從 Trend Vision One 收集事件資料。Securonix 只能收集連接到 Trend Vision One 之後生成的資料。新資料開始出現之前,您可能需要等待一段時間。